Законодательство России в сфере информационной безопасности подвержено постоянным изменениям. С помощью экспертов мы будем внимательно следить за новыми законодательными инициативами. Сегодня о законодательных изменениях в сфере информационной безопасности Digital Report рассказал Игорь Иофчу руководитель юридического департамента группы компаний «Гаскар Групп».
Ключевым фактором, повлиявшим на изменения в законодательстве в сфере ИБ, на мой взгляд является эпидемия COVID-19. Вне всяких сомнений, это обстоятельство не может не влиять на кибербезопасность и рынок.
В 2020 году отмечается массовый переход большого числа компаний на удаленный режим работы. Бизнесу в одночасье пришлось перестраивать алгоритмы своей работы и в том числе – подходы к реализации информационной безопасности. Возникла необходимость использовать новые технические средства связи и идентификации работников. Существенную нагрузку ощутили на себе практически все ИТ и ИБ-подразделения всех более-менее крупных компаний.
Государство в лице Минкомсвязи, Департаментов информационных технологий и прочих регуляторных ведомств столкнулось с необходимостью в сжатые сроки создать целый пласт нормативно-правовых актов, регулирующих использование персональных данных в информационных системах.
Именно эти особенности являются двигателем изменений в законодательстве, регулирующим информационную безопасность.
- Опубликован проект ГОСТ Р «Защита информации. Мониторинг информационной безопасности. Общие положения». Проект определяет:
– требования к уровням мониторинга информационной безопасности;
– порядок осуществления мониторинга информационной безопасности при реализации мер защиты информации;
– требования к защите мониторинга.
- Опубликован проект закона о внесении изменений в ФЗ «О связи» и в ФЗ «Об информации, информационных технологиях и о защите информации».
Законопроект вводит понятия, которые прежде отсутствовали в законодательстве. Например, центр хранения и обработки данных (далее – ЦХОД) – специализированный объект с собственными инженерными системами для размещения оборудования, обеспечивающего хранение, обработку и доступ к данным, с гарантированными уровнями доступности, безопасности и управляемости.
Оператор центра хранения и обработки данных – организация, эксплуатирующая центр хранения и обработки данных и обеспечивающая его функционирование в качестве основного вида деятельности.
- Опубликован проект ФЗ о внесении изменений в отдельные законодательные акты в связи с принятием Федерального закона «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации» (в части развития технологий искусственного интеллекта и больших данных).
Предполагается, что прежние нормы по обработке персональных данных можно не применять, если такое право будет установлено программой экспериментального правового режима (цифровой песочницей). Законопроект предлагает не применять следующие положения:
о требованиях к поручению обработки ПДн третьему лицу;
о невозможности объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
об исключающих случаях освобождения оператора от обязанности предоставить субъекту ПДн сведения;
об обработке ПДн только в рамках конкретных, заранее определенных и законных целей;
о требованиях к обработке специальных категорий ПДн и биометрических ПДн.
Необходимо отметить, что многие эксперты находят этот законопроект разрушающим основополагающие принципы обработки персональных данных.
- Опубликован законопроект о внесении изменений в ФЗ о персональных данных. Предполагается, что он направлен на уточнение порядка обработки персональных данных. Если законопроект примут, то по нему можно будет:
не использовать паспорт как основной документ, удостоверяющий личность субъекта персональных данных при дачи согласии на их обработку. Можно будет использовать иной уникальный идентификатор субъекта ПДн, устанавливаемый в соответствии с федеральными законами или соглашением сторон, позволяющий достоверно определить субъекта ПДн и установить его волеизъявление;
в согласии на обработку ПДн указать несколько целей обработки ПДн и несколько лиц, осуществляющих обработку ПДн по поручению оператора. Раньше можно было указывать только одну цель;
осуществлять обработку ПДн в дополнительных целях в случае наличия согласия субъекта ПДн, содержащего информацию об указанных дополнительных целях.
- Electronic Arts повышает цены на игры в Турции почти до $100 - 25/04/2024 12:58
- Microsoft продолжает поддерживать российских корпоративных клиентов, несмотря на обещания об уходе с рынка - 24/04/2024 14:48
- Робот-пес, стреляющий огнем, теперь доступен за $10 000 - 24/04/2024 11:10
